Hati-hati Serangan DDoS Memcached UDP Reflection Attacks

Pada bulan Februari lalu, kami menyadari terhadap DDoS reflection attack baru yang menyerang beberapa memcached server melalui trafik UDP. Serangan yang baru tersebut disadari oleh Cloudmatika ketika kami mendeteksi akan serangan dari luar berupa DDoS yang menargetkan UDP port 11211 pada server memcached. Secara default, memcached listen di localhost pada TCP dan UDP port 11211 pada sebagian besar versi Linux, tetapi dalam beberapa distro ini dikonfigurasi untuk mendengarkan port ini pada semua antarmuka secara default.

Pada dasarnya, memcached seharusnya tidak memiliki interkoneksi keluar jaringan lokal dan hanya berkomunikasi sesama lokal jaringan. Cloudmatika pun dengan secepatnya menginformasikan kepada Customer kami untuk segera memperbaiki Bug pada memcached server listen UDP port 11211 dan menyarankan untuk mengaktifkan hanya untuk lokal apabila memungkinkan.

Seperti dikutip dalam Blog Akamai, salah satu blog mengenai kerentanan dan keamanan suatu website. Saat ini ada lebih dari 50.000 sistem rentan yang diketahui terjadi pada memcached server ini. Ketika sebuah sistem menerima permintaan-permintaan memcache, ia membentuk respons dengan mengumpulkan nilai yang diminta dari memori, mengirimnya melalui uninterrupted stream.

Mirip dengan kebanyakan serangan DDoS Reflection dan Amplification sebelumnya, solusi utama untuk memcache attack ini adalah menonaktifkannya dalam koneksi internet atau dalam arti lain ialah hanya memperbolehkan komunikasi dan permintaan memcached secara lokal. Memblokir port 11211 adalah titik awal untuk pertahanan dan akan mencegah sistem di jaringan Anda digunakan sebagai reflektor. Mengkonfigurasi kontrol mitigasi, seperti pemblokiran port, dapat memungkinkan lalu lintas ini ditangani dengan cepat dan efisien.